1、1,密碼技術(shù)應(yīng)用（VPN/SSL）,中國(guó)信息安全測(cè)評(píng)中心 2008年10月,2,目錄,虛擬專用網(wǎng)（VPN）概述 VPN工作原理 VPN設(shè)計(jì)原則 VPN有關(guān)協(xié)議的基本原理 VPN的解決方案,3,課程目標(biāo),了解VPN基本概念 了解VPN的類型 掌握VPN有關(guān)協(xié)議的基本工作原理,4,一、虛擬專用網(wǎng)（VPN）概述,5,目錄,虛擬專用網(wǎng)（VPN）概述 VPN工作原理 VPN設(shè)計(jì)原則 VPN有關(guān)協(xié)議的基本原理 VPN的解決方案,6,1 虛擬專用網(wǎng)概述,1.1 為什么使用VPN 1.2 VPN的基本功能 1.3VPN的類型 1.4 VPN的使用方式 1.5 VPN的發(fā)展,7,1.1 為什么使用VPN,1、沒(méi)

2、使用VPN時(shí)，分布在各地的組織機(jī)構(gòu)需要用專用網(wǎng)絡(luò)來(lái)保證數(shù)據(jù)傳輸安全。其特點(diǎn)1）安全性好2）價(jià)格昂貴3）難擴(kuò)展、不靈活 2、TCP/IP采用分組交換方式傳遞數(shù)據(jù)，其特點(diǎn)1）安全性差2）價(jià)格便宜3）易擴(kuò)展，普遍使用,8,圖1 非VPN遠(yuǎn)程訪問(wèn)設(shè)置,1.1 為什么使用VPN （cont.）,9,1.1 為什么使用VPN （cont.）,1、將專用網(wǎng)的安全特性和分組交換網(wǎng)的廉價(jià)和易于擴(kuò)展的特性結(jié)合在一起，這就是VPN的動(dòng)機(jī)。2、其本質(zhì)是利用共享的互聯(lián)網(wǎng)設(shè)施，模擬“專用”廣域網(wǎng)，最終以極低的費(fèi)用為遠(yuǎn)程用戶提供能和專用網(wǎng)絡(luò)相媲美的保密通信服務(wù)。,10,與傳統(tǒng)專用網(wǎng)相比，VPN給企業(yè)帶來(lái)很多的好處，同時(shí)也給

3、服務(wù)供應(yīng)商特別是ISP帶來(lái)很多機(jī)會(huì)。 如:VPN給企業(yè)帶來(lái)的好處主要有以下四點(diǎn)： （1）降低成本 （2）易于擴(kuò)展 （3）可隨意與合作伙伴聯(lián)網(wǎng) （4）完全控制主動(dòng)權(quán),1.1 為什么使用VPN （cont.）,11,加密數(shù)據(jù)，以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。 信息認(rèn)證和身份認(rèn)證，保證信息的完整性、合法性，并能鑒別用戶的身份。 提供訪問(wèn)控制，不同的用戶有不同的訪問(wèn)權(quán)限。,1.2 VPN的基本功能,12,1.3 VPN的類型,按協(xié)議層次 可以分為二層VPN，三層VPN、應(yīng)用層VPN。 按應(yīng)用范圍 遠(yuǎn)程訪問(wèn)VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN 按體系結(jié)構(gòu) 網(wǎng)關(guān)到網(wǎng)關(guān)VPN、主機(jī)到網(wǎng)關(guān)VP

4、N和主機(jī)到主機(jī)VPN,13,按協(xié)議層次分類的VPN,數(shù)據(jù)鏈路層VPN 可以用于各種網(wǎng)絡(luò)協(xié)議，比如IP、IPX、AppleTalk等。 網(wǎng)絡(luò)層VPN 可以適用于所有應(yīng)用（即不是應(yīng)用特定的）。 應(yīng)用層VPN 常用于保護(hù)單獨(dú)的HTTP應(yīng)用通信的安全，并且也可以保護(hù)其它應(yīng)用的通信。 每個(gè)應(yīng)用服務(wù)器必須支持該協(xié)議。 目前主要的web瀏覽器默認(rèn)支持該協(xié)議。,14,按體系結(jié)構(gòu)分類的VPN,網(wǎng)關(guān)到網(wǎng)關(guān)體系結(jié)構(gòu)示例,主機(jī)到主機(jī)體系結(jié)構(gòu)示例,主機(jī)到網(wǎng)關(guān)體系結(jié)構(gòu)示例,15,1.4 VPN的使用方式,自構(gòu)VPN：也稱為基于用戶設(shè)備的VPN。 用戶自己添置設(shè)備，利用互聯(lián)網(wǎng)連接遠(yuǎn)程網(wǎng)絡(luò)。此時(shí)互聯(lián)網(wǎng)僅用作IP分組的傳送平臺(tái)

5、，VPN的安全功能由用戶網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)。 適合于那些有遠(yuǎn)程安全通信需求、卻又不信任VPN服務(wù)供應(yīng)商提供的安全服務(wù)的用戶。 外購(gòu)VPN：也稱為基于網(wǎng)絡(luò)的VPN。 將自有遠(yuǎn)程網(wǎng)絡(luò)按VPN服務(wù)供應(yīng)商的要求連接到服務(wù)商提供的VPN邊緣路由器。 VPN的安全功能由VPN服務(wù)供應(yīng)商提供。 可以省去大量VPN網(wǎng)絡(luò)設(shè)備和維護(hù)的費(fèi)用。,16,二、VPN工作原理,17,目錄,虛擬專用網(wǎng)（VPN）概述 VPN工作原理 VPN設(shè)計(jì)原則 VPN有關(guān)協(xié)議的基本原理 VPN的解決方案,18,2.1 VPN關(guān)鍵技術(shù),隧道技術(shù) 加解密技術(shù) 密鑰管理技術(shù) 使用者與設(shè)備身份認(rèn)證技術(shù) 訪問(wèn)控制技術(shù),19,隧道技術(shù),本質(zhì)區(qū)別在于用戶在隧

6、道中傳輸?shù)臄?shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中。 隧道技術(shù)按其拓?fù)浣Y(jié)構(gòu)分為點(diǎn)對(duì)點(diǎn)隧道和點(diǎn)對(duì)多隧道，而VPN主要采用點(diǎn)對(duì)點(diǎn)隧道。 目前存在多種VPN 隧道，包括L2TP、PPTP、IPSec、MPLS、SSL,20,Internet,VPN網(wǎng)關(guān)B,5,雙方使用ISAKMP/Oakley密鑰交換協(xié)議建立安全關(guān)聯(lián)，產(chǎn)生或者刷新密鑰,4,VPN網(wǎng)關(guān)A,查找SPD數(shù)據(jù)庫(kù)決定為流入的IP數(shù)據(jù)提供那些安全服務(wù),查找對(duì)應(yīng)SA的參數(shù),要求建立安全相應(yīng)的關(guān)聯(lián),對(duì)原有數(shù)據(jù)包進(jìn)行相應(yīng)的安全處理,建立SAD,建立相應(yīng)的SA,2.2 完整的VPN工作原理圖,21,三、VPN設(shè)計(jì)原則,2

7、2,目錄,虛擬專用網(wǎng)（VPN）概述 VPN工作原理 VPN設(shè)計(jì)原則 VPN有關(guān)協(xié)議的基本原理 VPN的解決方案,23,3.1安全性,保證VPN安全性通過(guò)以下手段： 隧道和加密：在安全性較高的場(chǎng)合使用加密隧道保護(hù)私有數(shù)據(jù)不被非法窺視和篡改。 數(shù)據(jù)驗(yàn)證：數(shù)據(jù)驗(yàn)證使接收方識(shí)別被篡改的數(shù)據(jù)，保證數(shù)據(jù)完整性。 身份驗(yàn)證：通過(guò)AAA，路由器提供用戶驗(yàn)證、訪問(wèn)級(jí)別和訪問(wèn)記錄，禁止非法訪問(wèn)。 抗重放：防止數(shù)據(jù)包被撲捉并重新投放到網(wǎng)上。,24,內(nèi)部工作子網(wǎng),下屬機(jī)構(gòu),DDN/FR X.25專線,密文傳輸,明文傳輸,明文傳輸,3.1 數(shù)據(jù)機(jī)密性保護(hù),25,內(nèi)部工作子網(wǎng),下屬機(jī)構(gòu),DDN/FR X.25專線,原始數(shù)

8、據(jù)包,對(duì)原始數(shù)據(jù)包進(jìn)行Hash,Hash,摘要,對(duì)原始數(shù)據(jù)包進(jìn)行加密,加密后的數(shù)據(jù)包,加密,加密后的數(shù)據(jù)包,摘要,摘要,解密,原始數(shù)據(jù)包,Hash,原始數(shù)據(jù)包,與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性,3.1 數(shù)據(jù)完整性保護(hù),26,內(nèi)部工作子網(wǎng),下屬機(jī)構(gòu),DDN/FR X.25專線,原始數(shù)據(jù)包,對(duì)原始數(shù)據(jù)包進(jìn)行Hash,Hash,摘要,加密,摘要,摘要,取出DSS,原始數(shù)據(jù)包,Hash,原始數(shù)據(jù)包,兩摘要相比較,私鑰,DSS,將數(shù)字簽名附在原始包后面供對(duì)方驗(yàn)證簽名,得到數(shù)字簽名,DSS,解密,相等嗎？,驗(yàn)證通過(guò),3.1 數(shù)據(jù)源身份認(rèn)證,27,AH協(xié)議頭,ESP協(xié)議頭,SA建立之初，序列號(hào)初始化為0，

9、使用該SA傳遞的第一個(gè)數(shù)據(jù)包序列號(hào)為1，序列號(hào)不允許重復(fù)，因此每個(gè)SA所能傳遞的最大IP報(bào)文數(shù)為2321，當(dāng)序列號(hào)達(dá)到最大時(shí)，就需要建立一個(gè)新的SA，使用新的密鑰。,3.1 重放攻擊保護(hù),28,3.2網(wǎng)絡(luò)優(yōu)化,構(gòu)建VPN的另一重要需求是有效的利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。QoS（服務(wù)質(zhì)量）通過(guò)流量預(yù)測(cè)與流量控制策略，可按照優(yōu)先級(jí)分配帶寬管理，使各類數(shù)據(jù)合理的先后發(fā)送，并預(yù)防阻塞的發(fā)生，因此，在設(shè)計(jì)VPN時(shí)需考慮采用多種QoS策略以優(yōu)化網(wǎng)絡(luò)資源.,29,3.3VPN的管理,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能無(wú)縫延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服

10、務(wù)提供商去完成，企業(yè)自己仍需完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。,30,四、VPN有關(guān)協(xié)議的原理,31,目錄,虛擬專用網(wǎng)（VPN）概述 VPN工作原理 VPN設(shè)計(jì)原則 VPN有關(guān)協(xié)議的基本原理 VPN的解決方案,32,4 VPN有關(guān)協(xié)議的基本原理,二層隧道協(xié)議 IPSec協(xié)議 SSL協(xié)議,33,4.1 二層隧道協(xié)議,二層隧道協(xié)議主要有三種: PPTP：微軟、Ascend、3COM 等公司支持。 L2F：Cisco、北方電信等公司支持，在 Cisco路由器中有支持。 L2TP：由 IETF 起草，微軟、 Ascend 、Cisco、3COM 等公司參與，結(jié)合了上面兩

11、個(gè)協(xié)議的優(yōu)點(diǎn)，成為 有關(guān)二層隧道協(xié)議的的工業(yè)標(biāo)準(zhǔn)。,34,4.1 二層隧道協(xié)議 （cont.）,L2TP協(xié)議,35,4.2 IPSec協(xié)議簡(jiǎn)介,IPSec協(xié)議實(shí)際上是一個(gè)協(xié)議包而不是一個(gè)單個(gè)的協(xié)議。自從1995年IPSec的研究究工作開(kāi)始以來(lái)，現(xiàn)在已經(jīng)積累了大量的標(biāo)準(zhǔn)文件集。 IPSec的安全協(xié)議由三個(gè)主要的協(xié)議組成，它由下圖的第二層以及加密和認(rèn)證算法組成。 Internet安全協(xié)商和密鑰管理協(xié)議（ISAKMP）是IPSec的另一個(gè)主要組件。ISAKMP提供了用于應(yīng)用層服務(wù)的通用格式，它支持IPSec協(xié)商方的密鑰管理需求。,36,IPSec協(xié)議體系,37,認(rèn)證頭部（AH）,AH主要提供數(shù)據(jù)來(lái)源

12、認(rèn)證、數(shù)據(jù)完整性驗(yàn)證和防報(bào)文回放攻擊功能。 包含兩種模式：傳輸模式和隧道模式。 隧道模式需要為每個(gè)包創(chuàng)建一個(gè)新的IP包頭。 傳輸模式不需要?jiǎng)?chuàng)建新的IP包頭。,38,AH隧道模式包,AH傳輸模式包,認(rèn)證頭部（續(xù)）,39,負(fù)載安全封裝（ESP）,除了AH協(xié)議的功能外，ESP還提供對(duì)IP報(bào)文的加密功能。 包括兩種模式：隧道模式和傳輸模式。,40,SSL (Secure socket Layer)安全套接層協(xié)議主要是使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用Web Server方式。 包括：服務(wù)器認(rèn)證、客戶認(rèn)證

13、（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。 SSL通過(guò)在瀏覽器軟件和web服務(wù)器之間建立一條安全通道，實(shí)現(xiàn)信息在Internet中傳送的保密性。,4.3 SSL協(xié)議,41,SSL協(xié)議（續(xù)）,在TCP/IP協(xié)議族中，SSL位于TCP層之上、應(yīng)用層之下。 可以獨(dú)立于應(yīng)用層，從而使應(yīng)用層協(xié)議可以直接建立在SSL之上。 包含：SSL記錄協(xié)議、SSL握手協(xié)議、SSL更改密碼說(shuō)明協(xié)議和SSL警告協(xié)議。,42,43,SSL協(xié)議安全連接的特點(diǎn),連接是保密的：對(duì)于每個(gè)連接都有一個(gè)唯一的會(huì)話密鑰，采用對(duì)稱密碼體制（如DES等）加密數(shù)據(jù)。 連接是可靠的：消息的傳輸采用MAC算法進(jìn)行完整性檢驗(yàn)。

14、對(duì)端實(shí)體的鑒別采用非對(duì)稱密碼體制進(jìn)行認(rèn)證。,44,4.4 IPSec VPN和SSL VPN的比較,45,五、VPN的解決方案,46,目錄,虛擬專用網(wǎng)（VPN）概述 VPN工作原理 VPN設(shè)計(jì)原則 VPN有關(guān)協(xié)議的基本原理 VPN的解決方案,47,5 VPN的解決方案,連接分支機(jī)構(gòu)（Intranet VPN） 連接合作伙伴（Extranet VPN） 連接遠(yuǎn)程用戶（Access VPN）,48,5.1內(nèi)聯(lián)網(wǎng)VPN（連接分支機(jī)構(gòu)）,一個(gè)組織結(jié)構(gòu)的總部或者中心網(wǎng)絡(luò)與跨地域的分支機(jī)構(gòu)網(wǎng)絡(luò)在公共通信基礎(chǔ)設(shè)施上采用隧道技術(shù)和密碼技術(shù)等VPN技術(shù)構(gòu)成組織機(jī)構(gòu)“內(nèi)部”的虛擬專用網(wǎng)絡(luò)。 還具有管理上的自主可控

15、、策略集中配置和分布式安全控制等安全特性。 內(nèi)聯(lián)網(wǎng)VPN是解決內(nèi)聯(lián)網(wǎng)的結(jié)構(gòu)安全、連接安全和傳輸安全的主要方法。,49,Internet,VPN網(wǎng)關(guān)A,VPN網(wǎng)關(guān)B,通道只需定義在兩邊的網(wǎng)關(guān)上,Gateway 必須支持IPSec,Gateway 必須支持IPSec,數(shù)據(jù)在這一段是認(rèn)證的,數(shù)據(jù)在這一段是加密的,ISP,ISP,5.1內(nèi)聯(lián)網(wǎng)VPN （續(xù)）,50,5.2外聯(lián)網(wǎng)VPN（連接合作伙伴）,使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴或共同利益的主機(jī)或網(wǎng)絡(luò)聯(lián)網(wǎng)，根據(jù)安全策略、資源共享約定規(guī)則，實(shí)施內(nèi)聯(lián)網(wǎng)的特定主機(jī)和網(wǎng)絡(luò)資源與外部特定主機(jī)和網(wǎng)絡(luò)資源應(yīng)相互共享。 外聯(lián)網(wǎng)VPN是解決外聯(lián)網(wǎng)結(jié)構(gòu)

16、安全、連接安全和傳輸安全的主要方法。 必須解決密碼分發(fā)、管理的一致性問(wèn)題。,51,Internet,VPN網(wǎng)關(guān)A,VPN網(wǎng)關(guān)B,主機(jī)必須支持IPSec,主機(jī)必須支持IPSec,通道建立在兩邊的主機(jī)之間，因?yàn)闃I(yè)務(wù)伙伴內(nèi)的主機(jī)不是都可以信任的,數(shù)據(jù)在這一段是加密的,數(shù)據(jù)在這一段是認(rèn)證的,數(shù)據(jù)在這一段是認(rèn)證的,數(shù)據(jù)在這一段是加密的,數(shù)據(jù)在這一段是認(rèn)證的,數(shù)據(jù)在這一段是加密的,ISP,ISP,5.2外聯(lián)網(wǎng)VPN （續(xù)）,52,5.3遠(yuǎn)程訪問(wèn)VPN（連接遠(yuǎn)程用戶）,遠(yuǎn)程移動(dòng)用戶通過(guò)VPN技術(shù)可以在任何時(shí)間、任何地點(diǎn)采用撥號(hào)、ISDN、DSL等方式與公司總部、公司內(nèi)聯(lián)網(wǎng)的VPN設(shè)備建立隧道，實(shí)現(xiàn)訪問(wèn)連接。 遠(yuǎn)程用戶終端必須安裝相應(yīng)的VPN軟件。